IPTPC からの情報発信
スマートフォンの導入と利活用に不可欠な技術を学ぼう!
2013年6月27日
IP電話普及推進センタ(IPTPC)
エバンジェリスト(NEC) 竹井 俊文
IPTPCでは毎年、セミナを開催し旬な情報発信をしており、昨年度のIPTPCセミナ2012のアンケートでは、スマートフォンやタブレット端末をはじめ、これらを企業へ導入するための無線LANや新たなソリューションとして急速に注目を集めているBYODへの関心度が非常に高いことがわかった。その理由の一つに、スマートフォンによるワークスタイル革新がある。場所や時間に依存しないタイムリーな情報の収集や伝達・共有によって業務を効率化し、生産性の向上を図ることにより企業競争力を強化できる。
本コラムでは、スマートフォンの導入と利活用に不可欠な技術について、第1回から5回に分けて解説する。
第1回 モバイルセントレックスは携帯電話からスマートフォンへ
第2回 Wi-Fiとテザリングのオフロードでスマートフォンを快適に使う
第3回 スマートフォンによるワークスタイル革新の効果と導入システム
第4回 スマートフォンの導入と利活用に不可欠な無線LANとVoIP
第5回 BYOD導入のメリット、導入に不可欠なポリシー策定とMDM
[2013年6月27日 編集]
第5回(最終回) BYOD導入のメリット、導入に不可欠なポリシー策定とMDM
(1)なぜ今BYODなのか?
スマートフォンを企業に導入する場合の課題として、導入コストと利用拡大、効果の最大化がある。これらの課題を解決する方法としてBYODが注目されている。
BYODはBring Your Own Deviceの略号であるが、その起源は“BYOB”(Bring Your Own Bottle)であり、アメリカなどのホームパーティーで「酒持参で参加してください」という意味である。
BYOD/BYOBともに、企業/主催者のコスト負担となる、端末/酒の購入や配布、管理などを省けるという利点があると同時に、従業員/参加者にとっては、自分の好きな端末/酒を選べるという利点もある。つまり、BYODは企業と従業員の双方にとってHappyなソリューションと言える。
以下に、今BYODが話題となっている背景とBYODの現状について解説する。
●今までBYODが普及しなかった理由
BYODのアイデアは昔からあった。たとえば、個人の使い慣れたノートPCを会社へ持ち込んで業務を効率化するとか、面倒な携帯端末2台持ちの替わりに個人の携帯電話を業務に使用して利便性を向上するとか、企業によっては既にBYODを採用しているケースもある。
しかし、セキュリティやプライバシー保護、通信・修理コストの個人利用と企業利用の分離が煩雑などの問題によって、多くの企業が導入の検討段階で頓挫している。
特に、ノートPCのBYODが普及しなかった理由として、個人で購入するには高価であり、スマートフォンやタブレット端末に比べれば重くて大きく持ち運びが大変であるため、従業員が個人所有のノートPCを会社へ持ち込むにはハードルが高かった。
また、企業としても、日頃使い慣れた個人所有のノートPCだからといって、機能的に勝れている訳でもなく、厄介なセキュリティのリスクを犯してまでも、業務に活用するメリットを見出せなかったのである。
●スマートデバイス登場後、BYODの大きな波
図1 BYODの普及を後押しする七つのポイント
スマートデバイス(スマートフォン、タブレット端末)の登場によって、状況は一変する。
スマートデバイスはノートPCと同様な高い情報処理機能と、3GやWi-Fi等の通信機能を合わせ持つにもかかわらず、軽量コンパクトであり、タッチスクリーンや音声認識等による画期的な操作性に加え、バッテリーの持ちも良くなってきている。
この高い利便性とモビリティ性を有しながら、端末価格は比較的安価なため、スマートデバイスは急速に普及、浸透した。
以下、スマートデバイスの登場後、BYODの普及を後押しする七つのポイントを挙げる。
- (一)
- 既に多くの従業員が「スマートデバイス」を個人で購入し所有しており、ソーシャルメディアをはじめ多様なアプリ追加による機能拡張をしながら、プライベートで利用している。
- (二)
- スマートデバイスはコンシューマ向け製品でありながら、「高性能(高スペック)」であり、無線LAN(Wi-Fi)機能やVoIP機能等がデフォルトで搭載され、かつ「オープンOS」であるため機能強化のスピードが速い。
- (三)
- APIが公開されているので、内線IP電話やビデオ会議、グループウェア等、「豊富な品揃えのビジネスアプリ」をマーケットプレイスからスマートデバイスへインストールするだけで、今すぐにでも業務に活用することができる。
- (四)
- スマートデバイス向けの「廉価なパケット定額サービス」が、通信事業者によって提供されている。
- (五)
- 公衆無線LANやLTE等、「高速モバイル網」のエリアの広がりによって、CRMをはじめビジネス活用できる「クラウドサービス」をいつでもどこでもスマートデバイスから利用し、業務効率化を図ることができる。
- (六)
- スマートデバイスは無線LANのWPA2(Wi-Fi Protected Access 2)やIEEE802.1X認証、IPsec-VPN等、「企業レベルの高セキュリティ規格」に対応している。
- (七)
- 後述する「MDM」の登場によって、スマートデバイスのセキュリティ管理等の手間を大幅に軽減できる。
従業員の多くはプライベートで利用するためにスマートデバイスを購入したのであるが、上記の(一)〜(七)のような後押しもあり、利便性の良さや高いユーザーエクスペリエンスから、業務にも活用して生産性を向上したいという声が日増しに大きくなってきている。そのため、BYODは企業にとって喫緊の課題となっており、避けられない大きな波となっている。
●まだまだ少ない、BYODの導入実態
ところでBYODの導入率はいかほどかというと、海外の高い導入率に対して日本国内では30%程度(出所:MCPC&インプレス R&D調査)にすぎない。またその半分はいわゆる“シャドーIT”(企業が公認していないが黙認の上で、従業員が勝手に個人所有のデバイスを持ち込んで業務に活用している)であると言われている。
つまり、本格的に企業が管理するタイプのBYODの導入はスタートしたばかりであり、今が検討の良い機会である。そこで、まずBYODの理解を深めるために「広義のBYOD」と「狭義のBYOD」の分類からはじめよう。
「広義のBYOD」とは、個人所有のデバイスを持ち込んで業務に活用することであり、この場合、企業のネットワークやサーバに接続せずに単に情報収集やコミュニケーション等のツールとして活用する“シャドーIT”を含む。
一方「狭義のBYOD」とは、個人所有のデバイスを企業の“公認”の下で企業のネットワークやサーバに接続して業務に活用することであり、この場合、企業はBYODポリシーを策定し同意する従業員と契約を結ぶ必要がある。
ここで、デバイスとは、ノートPCや携帯電話、スマートデバイスなどを指す。デバイス毎にセキュリティ等のリスクが違うので、BYODポリシーもデバイス毎に策定するのが望ましい。
BYODポリシーを遵守する同意書を企業が作成し、必要性と機密性から適用対象者の範囲を限定し、かつ希望者のうち同意書にサインした従業員のみがBYODを実施できるというのが、「狭義のBYOD」の一般的なやり方である。
以降、「BYOD」とは上記の「狭義のBYOD」のことを指す。
(2)BYOD導入のメリットとは
次に、「コンシューマ向けスマートデバイス」(以降、単に「スマートデバイス」という)によるBYOD運用の具体的なイメージ、ならびにそのメリットとデメリットについて解説する。
●企業管理によるBYOD運用
スマートデバイスを、企業が策定したBYODポリシーを遵守しながらプライベートに利用するとともに、企業の管理下でデバイスをイントラネットに接続して業務にも活用する形態である。
BYOD対象従業員の全デバイスを企業が管理する。デバイスの設定からマルウェア対策、セキュリティパッチ適応やバージョンアップ、不正なサイトアクセス防止、不正アプリのインストール防止、紛失・盗難時のリモートワイプ等を一括管理するシステムを、企業が準備するのが一般的である。この形態の実現には、後述するMDMの導入が不可欠となる。
●BYODのメリットとデメリット
上記のBYODを導入する場合のメリットとデメリットについて考察する。
BYOD運用をしない場合(例:個人所有のデバイスとは別に企業が従業員へデバイスを配布する場合)との比較をベースに、従業員の立場と企業の立場に分けて、それぞれの代表的なメリットとデメリットを2つ、3つずつ列挙してみる。
| 立場 | メリット | デメリット |
|---|---|---|
| 企業 |
|
|
| 従業員 |
|
|
企業にとっての最大のメリットは、今までデバイスを大量購入し、業務用端末として各種初期設定し、従業員へ配布していた都度かかっていたコスト、ならびに機種変更時の回収、再配布コスト等を丸々削減できることであろう。
一方、従業員にとっての最大のメリットは、高性能かつ高機能なスマートデバイス、それも自分が日頃使い慣れ親しんでいる機種をイントラネットに接続し、業務に活用して生産性を向上させることができることであろう。
また、営業やSE、プロジェクトマネジャー等、外出機会の多い業務においては、たとえば会社支給のノートPCと携帯電話に加え個人所有の携帯電話の3台を、個人所有のスマートフォン1台に集約できるため、モビリティ性は格段に向上する。
反面、企業にとってのデメリットや従業員にとってのデメリットがあり、それらは主としてセキュリティリスクの増加、ならびにセキュリティリスクを回避するために講じる様々な対策コストや手間、不自由さに起因するものである。
以下、BYODのリスクとポリシー策定、セキュリティについて説明する。
(3)BYOD導入に不可欠なポリシー策定
BYOD導入に際しては、BYODを導入した際に想定されるリスクを洗出し、BYODポリシーを策定する。その後、BYODポリシーを遵守させるために、個人所有のスマートデバイスを管理する技術やシステムの導入方針を決める。
また、スマートデバイスのOSバージョンのサイクルが早いため、BYODポリシーは適時PDCAサイクルを廻して見直す必要がある。
以下、BYODポリシーの策定について概要を説明する。
●BYODポリシーの策定
冒頭でも述べたとおり、BYODは従業員と企業の双方にとってメリットがなければならない。メリットがでるかどうかは、企業での運用方法、費用負担、セキュリティ対策等によって大きく変わる。そのため、企業が策定し従業員が遵守するBYODポリシーは、企業毎に異なるばかりでなく、部門さらには従業員の業務内容によって異なる場合がある。
BYODポリシーには、大きく分けて以下の3つのポリシーが含まれる。
◆運用ポリシー
個人所有のスマートデバイスの企業での利用目的を明確にし、従業員と企業の双方にメリットがある部門と利用者に適用範囲を限定することも考慮に入れながら、運用方法を明確にすることが必要となる。
その際、表1の企業デメリット@Aの軽減のため、AndroidやiPhone、機器ベンダーや機種、OSバージョンに制限をつける場合もある。
◆費用ポリシー
表1の従業員メリットBと企業メリット@Aがある反面、企業と従業員との間でトラブルになり易いのが費用である。そのため、費用ポリシーを明確にすることが必要となる。
たとえば、デバイス購入費、パケット定額料金や通話料金等の通信費、セキュリティソフトやアプリケーション購入費、クラウド等のサービス利用料金、さらに機種変更費や修理費、再購入費などについても、どちらの負担か明確にしたほうがよい場合もある。
◆セキュリティポリシー
個人所有のスマートデバイスを企業のイントラネットへ接続するので、プライベート利用とビジネス利用の双方の情報資産においてセキュリティリスクが発生する。そのため、会社支給のPCや携帯電話等の既存のセキュリティポリシーをベースに、スマートデバイスのBYOD導入によって生じる新たなリスクを評価し、セキュリティポリシーを見直す必要がある。
たとえば、パスワードの設定や端末ロックの設定はもちろんのこと、データの暗号化、リモートロックやリモートワイプの仕組みが必要となる。また、適用ポリシーを分けるためプライベート/ビジネスモードの切り替えを行う場合もある。リモートワイプとは盗難・紛失したスマートデバイスのデータを、モバイル通信を利用した遠隔操作によって消去することである。
また、表1の企業デメリット@の軽減のため、無線LANやカメラ、メールやSNS等の通信アプリ、クラウドサービス、Webサイト、業務システム等の利用を制限する場合もある。
●スマートデバイスのセキュリティ対策
図2 スマートデバイスの多様な管理対象
スマートデバイスは、紛失・盗難デバイスからの悪意者による顧客情報や個人情報、機密情報の漏洩リスクが大きい。
自分のアドレス情報やスケジュール表、メール、メモ、ファイル等に記載されている情報だけでなく、マップやSNS上の自宅や会社の位置情報(GPS、無線基地局)、家族や同僚の写真やビデオ、さらにSNSで繋がっている友達の個人情報までも管理対象として考慮する必要がある。
また、これらの情報はデバイス本体のみならず、イントラネットさらにはインターネット上のクラウドを含むサーバやストレージにも分散している可能性があるので、管理対象はさらに広がる恐れもある(図2)。
その他、従来のPCや携帯電話と同様に、メールやSMSの誤送信、SNSやタイムラインへの誤発信等による情報漏洩のリスク、悪意者による無線LAN等を介した社内システムへの不正アクセスや盗聴のリスクがある。さらに、不正アプリのダウンロードや不正サイトアクセスによるAndroidのroot化やiOS(iPhoneやiPadのOS)のJailbreakによって、デバイスがマルウェア(ウイルス含む)に感染し、さらにそれが社内システムへ伝染するリスクもある。
これらのリスクは、緊張がほぐれるアフター5や休日のプライベート利用時に高まるという調査結果もあるので、従業員のプライベート利用時のインシデント発生も想定した、各リスクに対する「抑止・予防・検出・回復」といったセキュリティ対策を検討することが重要である。
たとえば、スマートデバイスの紛失・盗難が発生した直後に、本人がどこにいても任意のPCや電話からリモートワイプしたり、無線LAN(Wi-Fi)等の通信機能やアプリを利用できなくしたりできるサービスがあるので、利用を検討する場合もある。
(4)BYOD導入を支援するMDM
以下、BYODポリシーの下、スマートデバイスの管理を支援するMDMについて概要を説明する。
●厄介なデバイス管理を大幅に軽減するMDM
上記のセキュリティ対策のように、BYODにおけるスマートデバイスの管理は、365日24時間つまりビジネスアワーとプライベートタイムを問わず、従業員がどこにいてもタイムリーに実施することも検討しなければならない。また、Androidデバイスのように多種多様な機種を管理する場合は、機種毎に設定方法が異なり、かつそれぞれ運用上の注意点も多いため、人による作業は非常に煩雑であり厄介である。
この手間を大幅に削減するために、MDM(Mobile Device Management)を導入し作業の効率化を図ることは、表1の企業デメリット①②の軽減に極めて有効である。
MDMには、以下の4つの主要な集中管理機能がある。
- 機能Ⅰ
- デバイス紛失・盗難時の情報漏洩防止
- 機能Ⅱ
- デバイス関連情報の取得や一元管理
- 機能Ⅲ
- デバイス設定やキッティング自動化
- 機能Ⅳ
- デバイス認証・アクセスコントロール(利用制限)
具体例としては、機能Ⅰには前述した紛失・盗難時のリモートロックやリモートワイプ、機能ⅡにはデバイスのハードウェアやOS、ネットワーク、アプリ等の情報収集やログ監視のモニタリング、機能Ⅲにはセキュリティポリシーの設定やアプリの配布、OSの最新アップデート、セキュリティパッチの一斉配布、機能Ⅳには証明書や無線LAN(Wi-Fi)、カメラ、アプリのインストールの利用制限といったものがある。
なお、各機能の詳細はAndroidとiPhone, iPadで異なるので注意が必要である。
たとえば、iPhoneやiPadの場合は多くのMDM機能をOS(iOS)で提供しているのに対して、Androidの場合は多くのMDM機能をOSではなくアプリで提供している。そのため、iPhoneやiPadの場合は無線LAN(Wi-Fi)の機能制限などを端末の管理機能にて容易に設定変更できるのに対して、Androidの場合はOSの設定変更に不可欠なroot権限を信頼できるアプリにセキュアに与える仕組みが必要となり、機種やバージョンに依存する場合がある。
●MDMの基本システム構成
最後に、MDMの導入にあたっては、MDMの基本的なシステム構成と個々の役割を知っておいたほうがよいので、以下に簡単に紹介しておく。
MDMの主な構成要素
◆MDMサーバ:
MDMサーバは上記の集中管理機能Ⅰ〜Ⅳを実行するサーバであり、企業のITシステム管理者が保守PCのMDM管理画面を見ながら適時操作を行う。
◆Pushサーバ:
MDMに必要な即時性かつバッテリーの持ちを良くするため、MDMサーバがデバイスに命令したい時のみデバイスとの通信を開始するよう、Pushサーバが利用される。Pushサーバとデバイス間はセッションによって常時接続されており、MDMサーバから要求を受けた時点でPushサーバがデバイスへPush通知する。
◆デバイス:
Push通知を受けたデバイスからMDMサーバへ命令の問合せをし、MDMサーバからの機能Ⅰ〜Ⅳに関する各種命令を実行し、その結果をMDMサーバへ報告する。
以上、BYODの導入にあたっては、実現可能な運用形態を想定し、従業員と企業のメリットとデメリットおよびリスクを洗出し、策定したBYODポリシーに従ったセキュリティ対策の検討、ならびに個人所有スマートデバイスの管理を支援するMDMの検討が必要であることを述べた。
加えて、BYODの導入に不可欠な無線LAN設計と、無線LAN IP電話システム設計、FMC設計、セキュリティ設計を短期間で効率良く学習できるIPTPC認定技術者資格制度の「無線LANデザイナ研修」の受講、ならびに同研修受講後に「無線LANデザイナ認定資格試験」へのチャレンジを是非お奨めしたい。
以上
本コラムには、筆者の個人的な意見が含まれています。
